Non mi sembra d'aver visto neelle varie discussioni la descrizione del worm, nel caso mi sbagliassi, ma l'età avanza anche per me...:gren: , prego i Sig. Moderatori:gren: di cancellarla tranquillamente, copio/incollo la descrizione fatta in altri Forum.
E’ una variante del ben noto worm conosciuto mesi fa.
Questa variante del mass mailing worm, ha capacità polimorfiche, se compresso in UPX la sua dimensione è di 72192 byte mentre non compresso la sua dimensione è di 170 KB, per diffondersi sfrutta un proprio motore SMTP, andando a cercare gli indirizzi cui inviarsi , nei files aventi queste estensioni
.ODS
.MMF
.NCH
.MBX
.EML
.TBB
.DBX
INBOX
ha capacità di Backdoor (porta 1080) e Keylogger utilizzando una propria libreria dinamica (.dll collocata in C:WindowsSystem) inoltre, ha la capacità di inibire Firewall ed Antivirus, per ultimo, ma non meno importante, sfrutta un’ormai arcinota vulnerabilità di IE
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
La mail può avere uno dei segurnti “Oggetto”
Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!
ma può anche estrapolare casualmente pezzi di testo da files presenti sulla macchina infetta.
Questi i nomi dei files che arrivano come “Allegato” tutti con estensione .exe .pif .scr
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
anche in questo caso il nome dell’Allegato può essere preso casualmente dalla macchina infetta andando a cercare nella cartella Documenti un file con estensione
· .reg
· .ini
· .bat
· .diz
· .txt
· .cpp
· .html
· .htm
· .jpeg
· .jpg
· .gif
· .cpl
· .dll
· .vxd
· .sys
· .com
· .exe
· .bmp
ma in questo caso l’Allegato avrà doppia estensione, ad es. .gif.pif
Cerca di collocare in Startup un file .exe di tre o quattro lettere, la Symantec nella sua descrizione sostiene che le lettere siano tre (ad es. Cuu.exe o Cti.exe) per la McAfee e la Bitdefender le letterere sarebbero quattro (ad es. BSFS.exe)
E’ un worm che può diffondersi anche in rete locale cercando d’infettare questi files presenti nelle cartelle Programmi e Windows.
winzipwinzip32.exe
kazaakazaa.exe
ICQIcq.exe
DAPDAP.exe
Winampwinamp.exe
AIM95aim.exe
LavasoftAd-aware 6Ad-aware.exe
TrillianTrillian.exe
Zone LabsZoneAlarmZoneAlarm.exe
StreamCastMorpheusMorpheus.exe
QuickTimeQuickTimePlayer.exe
WS_FTPWS_FTP95.exe
MSN Messengermsnmsgr.exe
ACDSee32ACDSee32.exe
AdobeAcrobat 4.0ReaderAcroRd32.exe
CuteFTPcutftp32.exe
FarFar.exe
Outlook Expressmsimn.exe
RealRealPlayerrealplay.exe
Windows Media Playermplayer2.exe
WinRARWinRAR.exe
adobeacrobat 5.0readeracrord32.exe
Internet Exploreriexplore.exe
winhelp.exe
notepad.exe
hh.exe
mplayer.exe
regedit.exe
scandskw.exe
Cerca di terminare i seguenti prodotti di sicurezza:
· ZONEALARM.EXE
· WFINDV32.EXE
· WEBSCANX.EXE
· VSSTAT.EXE
· VSHWIN32.EXE
· VSECOMR.EXE
· VSCAN40.EXE
· VETTRAY.EXE
· VET95.EXE
· TDS2-NT.EXE
· TDS2-98.EXE
· TCA.EXE
· TBSCAN.EXE
· SWEEP95.EXE
· SPHINX.EXE
· SMC.EXE
· SERV95.EXE
· SCRSCAN.EXE
· SCANPM.EXE
· SCAN95.EXE
· SCAN32.EXE
· SAFEWEB.EXE
· RESCUE.EXE
· RAV7WIN.EXE
· RAV7.EXE
· PERSFW.EXE
· PCFWALLICON.EXE
· PCCWIN98.EXE
· PAVW.EXE
· PAVSCHED.EXE
· PAVCL.EXE
· PADMIN.EOUTPOST.EXE
· NVC95.EXE
· NUPGRADE.EXE
· NORMIST.EXE
· NMAIN.EXE
· NISUM.EXE
· NAVWNT.EXE
· NAVW32.EXE
· NAVNT.EXE
· NAVLU32.EXE
· NAVAPW32.EXE
· N32SCANW.EXE
· MPFTRAY.EXE
· MOOLIVE.EXE
· LUALL.EXE
· LOOKOUT.EXE
· LOCKDOWN2000.EXE
· JEDI.EXE
· IOMON98.EXE
· IFACE.EXE
· ICSUPPNT.EXE
· ICSUPP95.EXE
· ICMON.EXE
· ICLOADNT.EXE
· ICLOAD95.EXE
· IBMAVSP.EXE
· IBMASN.EXE
· IAMSERV.EXE
· IAMAPP.EXE
· FRW.EXE
· FPROT.EXE
· FP-WIN.EXE
· FINDVIRU.EXE
· F-STOPW.EXE
· F-PROT95.EXE
· F-PROT.EXE
· F-AGNT95.EXE
· ESPWATCH.EXE
· ESAFE.EXE
· ECENGINE.EXE
· DVP95_0.EXE
· DVP95.EXE
· CLEANER3.EXE
· CLEANER.EXE
· CLAW95CF.EXE
· CLAW95.EXE
· CFINET32.EXE
· CFINET.EXE
· CFIAUDIT.EXE
· CFIADMIN.EXE
· BLACKICE.EXE
· BLACKD.EXE
· AVWUPD32.EXE
· AVWIN95.EXE
· AVSCHED32.EXE
· AVPUPD.EXE
· AVPTC32.EXE
· AVPM.EXE
· AVPDOS32.EXE
· AVPCC.EXE
· AVP32.EXE
· AVP.EXE
· AVNT.EXE
· AVKSERV.EXE
· AVGCTRL.EXE
· AVE32.EXE
· AVCONSOL.EXE
· AUTODOWN.EXE
· APVXDWIN.EXE
· ANTI-TROJAN.EXE
· ACKWIN32.EXE
· _AVPM.EXE
· _AVPCC.EXE
· _AVP32.EXE
Importante:
Ricordarsi di disabilitare il System Restore nei S.O WinME e WinXP prima di lanciare la scansione con il proprio Antivirus o prima di lanciare i tool di rimozione.
Tool di rimozione
http://www.bitdefender.com/html/free_tools.php#
http://www.nod32.it/home/home.htm
Marco(amvinfe)
N.B.
affinchè i fix_tool facciano il loro lavoro di rimozione, in una LAN le macchine non devono essere connesse alla rete, prima di lanciare il fix, riavviare in mod. provvisoria, il procedimento va fatto su ogni macchina.
Marco(amvinfe)
Rispondi quotando
:mavieni:
Never Say Never... 
